Решена - Перекидывает на сайт internet.com

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем TpaBka, 14 фев 2012.

Страница 1 из 3
  1. TpaBka

    TpaBka Junior User

    Здравствуйте! У меня завёлся вирус, который перекидывает на сайт internet.com и отображает иногда html код странички, не грусит соц сети.
    hijackthis.log - http://zalil.ru/32704982
    virusinfo_syscure.zip - http://zalil.ru/32704987
    virusinfo_cure.zip - http://zalil.ru/32705019
    авто загрузка - http://zalil.ru/32705084


    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы вдруг обнаружили в системе следующие признаки:

    (Перекидывает на Internet.com или выдает исходный код "html" страницы)

    1. Сделайте Логи как показано в -
    2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
    [/mod]
     
    Последнее редактирование: 14 фев 2012
    TpaBka, 14 фев 2012
    #1
  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
 QuarantineFile('C:\WINDOWS\system32\45.exe','');
 QuarantineFile('C:\WINDOWS\system32\44.exe','');
 QuarantineFile('C:\WINDOWS\system32\ehryrfd.dll','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Nqqeqr.exe','');
 TerminateProcessByName('c:\windows\aadrive32.exe');
 QuarantineFile('c:\windows\aadrive32.exe','');
 DeleteFile('c:\windows\aadrive32.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Nqqeqr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nqqeqr');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 DeleteFile('C:\WINDOWS\system32\ehryrfd.dll');
 DeleteFile('C:\WINDOWS\system32\44.exe');
 DeleteFile('C:\WINDOWS\system32\45.exe');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
    begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
    Появившийся архив quarantine.zip отправьте на адрес sendvirus2011@gmail.com с темой письма virus_adminplanet.

    4. Сделайте лог uVS - http://www.adminplanet.ru/t2067.html

    5. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
    Angel-iz-Ada, 14 фев 2012
    #2
  3. TpaBka

    TpaBka Junior User

    а где лежит архив quarantine.zip
     
    TpaBka, 14 фев 2012
    #3
  4. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    в папке с AVZ
     
    Angel-iz-Ada, 14 фев 2012
    #4
  5. TpaBka

    TpaBka Junior User

    TpaBka, 14 фев 2012
    #5
  6. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
    Вставляем текст скрипта:
    Перед выполнением скрипта, закрыть браузеры!
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NQQEQR.EXE
addsgn 3AEC779AD48878700BD4C5716449FE11278AFCA4D8AD482ED64029B8D9FA5565E31847A13E559DF78CC5C59F00407828FC15D8C7A52531FE2D3CAB2F958BAF03 16 virus
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NQQEQR.EXE
; C:\WINDOWS\AADRIVE32.EXE
addsgn 3AEC779AD48878700BD4C5716449FE11278AFCA5DFAD482ED64029B8D9FA5565E31847A43E559DF7384AC49F0040783A70EF5D82AACFB0672277F4A27276DC8C 16 IRC/SdBot [NOD32]
zoo %SystemRoot%\AADRIVE32.EXE
; C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
addsgn 3AEC779AD48878700BD4C5716449FE11278AFCA4D8AD482ED64029B8D9FA5565E31847A13E559DF77C00C49F00407828FC15D8C7A52531FE2D3CAB2F958BAF03 16 Win32/AutoRun.AFQ [NOD32]
zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
bl 4775482C04B8BF45BD7A665090F1CBA3 77312
bl 3C8431F82087B5C04F7C30B3F7C15AB1 23552
bl 243B4A9CBC795D5640795B92FAFA01A6 46592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NQQEQR.EXE
delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
delall %SystemRoot%\AADRIVE32.EXE
chklst
delvir
deltmp
delnfr
czoo
crimg
restart
    И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
    В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
    Также в папке появится новый лог в архиве- залить его и дать ссылку (убедитесь что новый лог заливаете - смотрите по времени)
     
    Angel-iz-Ada, 14 фев 2012
    #6
  7. TpaBka

    TpaBka Junior User

    TpaBka, 14 фев 2012
    #7
  8. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    лог не верный. не тот файл видно прислали. он в архиве должен быть
    вы прислали лог выполнения прошлого скрипта
     
    Angel-iz-Ada, 14 фев 2012
    #8
  9. TpaBka

    TpaBka Junior User

    а если после того, как я прислал вам логи Mbam, я удалил все заражённые файлы, то сам лог не изменится?

    потому что больше не какого лога нет.
     
    TpaBka, 14 фев 2012
    #9
  10. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    ничего страшного
    вы архивчик с новым логом нашли?
    если нет, то выполните такой скрипт и пришлите архив с логом
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]

adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
crimg
     
    Angel-iz-Ada, 14 фев 2012
    #10
  11. TpaBka

    TpaBka Junior User

    TpaBka, 14 фев 2012
    #11
  12. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Повторяю еще раз! Должен быть не тхт файл, а архив
    Внизу написано его название - MICROSOF-1432F2_2012-02-14_16-37-54.rar
    Вот он и нужен
     
    Angel-iz-Ada, 14 фев 2012
    #12
  13. TpaBka

    TpaBka Junior User

    TpaBka, 14 фев 2012
    #13
  14. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
    Вставляем текст скрипта:
    Перед выполнением скрипта, закрыть браузеры!
    Код:
    ;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 3AEC779AD4886F730BD4C57164CD1A07258AD532DFAA4C2FD3909055A5D6714C984093173E16CE78DD014AAFF3E6B67BBBDFA37D558C3DA15D895BD07C06B2C6 16 Win32/AutoRun.AFQ [NOD32]
addsgn 3AEC779AD4887F770BD4C5716449FE11278AFCA7DAAC482ED696EC7C5F52854C23177A44A4009D087AB1449276A3B90568DFA37D558A3D995D895BD07C06B2C6 16 BackDoor.IRC.Bot.166 [DrWeb]
addsgn A7679B1BB9EA4D720B8269F498C81205254DB94E88FA1F7806BEC9BD5F52BA4D231704128A8D9D492B47C16B7B1649FABA9A10D955DAB0AF50C39B5AC88D67C7 16 vir
addsgn A7679B1BB9C24D720B8369F490CA1205254DB91679FA1F780E8625B3FF9385C566EF0412C2559D492B47C17B471649FAF6921C7DFA9748A560832F7A3F098D26 16 Win32/SpamTool.Tedroo.AT [NOD32]
addsgn A7679B1BB9364E720B5FE335EF199B9081740309DAC9CDF308833A43AFDDBBC5AED73EA8C10316DC077E7B60CD93E904822061E745244FD3846FA42FC7722A58 8 a variant of Win32/Kryptik [NOD32]
addsgn 3AEC779AEC3E4C720BBF6EB161C0100525A338A1DBAB482ED6962C4950D671F6744783577C07AC92AA4BB42AB6E9C8397D94E7720657355CD3885B96C7969753 16 Win32/AutoRun.AFQ [NOD32]
addsgn 3AEC779AEC3E4C720BBF6EB161C0100525A338A0DBA9482ED6962C4950D671F23C7C83577803AC80AA49B42AB6E9C83B7D94E77204572D5CD3885B91C7969753 20 zaberg
addsgn 3AEC779AD4887F770BD4C57164C51A07258AD532D8A8492FD3909055A5D6714C990888173E17CF78F0014FAFF3E6B67BBEDFA37D55893D915D895BD07906B2C6 16 a variant of Win32/Kryptik.ZWF [NOD32]
addsgn 3AEC779AD4887F770BD4C57164C50607258AD532DFA84C2FD3909055A5D6714C9C0888173E12CA78DD014AAFF3E6B67BBBDFA37D558C3DA95D895BD07C06B2C6 16 a variant of Win32/Kryptik.ZWF [NOD32]
addsgn A7679B1BB93E4D720B8369F490281205254DB916E4FA1F7842863DB750D671C766F7C812CA21B5C26674BFD2BE626971283FD327A1A4A8A76897AB8082FEAB36 16 Win32/SpamTool.Tedroo.AT [NOD32]
addsgn A7679B19B91E1AB54E6025B164C8D540D18CFCF6893D5A8035C3C5BCDB93857766A3CCDB85559D49A0CD30A40BEE34EDF68A1C7100223979D9FCE1DBF443DAFA 16 a variant of Win32/Kryptik.YOE [NOD32]
addsgn A7679B1BB9824D720B8269F490961205254DB916A9FA1F7842863D4D50D671C766F7F812CA2AFEC26674BFD2BE6B1271282BE7DD00223979CDF6D9DB5E062273 16 virus
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\100.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\103.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\11B.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\1E8.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\63.TMP
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
chklst
delvir
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\~A.TMP
deltmp
delnfr
czoo
restart
    И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
    В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес sendvirus2011@gmail.com. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
    После перезагрузки повторить лог Mbam
     
    Angel-iz-Ada, 14 фев 2012
    #14
  15. TpaBka

    TpaBka Junior User

    TpaBka, 14 фев 2012
    #15
  16. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Удаляем найденное. Перезагружаемся, делаем повторную проверку.
    Если будет чисто -
    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.


    TpaBka, если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
    Angel-iz-Ada, 14 фев 2012
    #16
  17. TpaBka

    TpaBka Junior User

    конечно, тем более только сегодня пополник кошелёк на WebMoney
     
    TpaBka, 14 фев 2012
    #17
  18. TpaBka

    TpaBka Junior User

    эх выдался не большой фейл, придётся заново Balwarebytes проверять. Не вылечив, закрыл программу.
     
    TpaBka, 14 фев 2012
    #18
  19. Nod

    Nod Moderator

    Ничего страшного, просканируйте повторно и удалите найденное.

    Спасибо вам за понимание и последующую поддержку.
    С днём святого Валентина!
     
    Nod, 14 фев 2012
    #19
  20. TpaBka

    TpaBka Junior User

    И вас с праздником! Как видимо не хило мне настрали в систему :(
     
    TpaBka, 14 фев 2012
    #20
Страница 1 из 3

Поделиться этой страницей